Organisaties deels zelf schuldig aan tekort security-experts

07-08-2021 | door: Martijn Kregting
Deel dit artikel:

Organisaties deels zelf schuldig aan tekort security-experts

Organisaties hebben steeds meer moeite om cybersecurity-experts te vinden. Dat ligt deels aan een tekort aan experts, maar deels ook aan de organisaties zelf. Zij bieden vaak niet het juiste salaris en weten vaak niet de juiste eisen aan de benodigde expertise te stellen. Zo zet de personeelscrisis op het gebied van cyberbeveiliging zet zich voort in een neerwaartse, meerjarige trend voor inmiddels meer dan de helft (57%) van de organisaties. Dat blijkt uit het vijfde jaarlijkse wereldwijde onderzoek onder cyberbeveiligingsprofessionals door de Information Systems Security Association (ISSA) en brancheanalist Enterprise Strategy Group (ESG).

Voor de studie, 'The Life and Times of Cybersecurity Professionals 2021', werden 489 cybersecurityprofessionals ondervraagd. De belangrijkste gevolgen van het tekort aan vaardigheden zijn onder meer een toenemende werklast voor het bestaande cyberbeveiligingsteam (62%), niet-ingevulde openstaande vacatures (38%) en een hoge burn-out problematie onder het personeel (38%). Verder geeft 95 procent van de respondenten aan dat het tekort aan cyberbeveiligingsvaardigheden en de bijbehorende effecten de afgelopen jaren niet zijn verbeterd. 44 procent zegt zegt dat het alleen maar erger is geworden.

Diepgewortelde problemen

"Dit rapport onthult een aantal diepgewortelde problemen met cyberbeveiligingsprofessionals en hun organisaties", zegt Jon Oltsik, Senior Principal Analyst en ESG Fellow. “ESG en ISSA hopen dat cyberbeveiligingsprofessionals dit onderzoek gebruiken om hun beroep en collega’s beter te begrijpen bij het managen van hun loopbaan. Voor zakelijke en cyberbeveiligingsprofessionals moeten de gegevens worden gezien als een reeks richtlijnen voor het maximaliseren van investeringen in cyberbeveiliging, het verbeteren van de arbeidstevredenheid in cyberbeveiliging en het afstemmen van cyberbeveiliging op de zakelijke missie. De boodschap is duidelijk: organisaties met een cybersecuritycultuur zijn in de beste positie.”

De drie meest genoemde segmenten met een aanzienlijk tekort aan cyberbeveiligingsvaardigheden zijn cloud computing-beveiliging, beveiligingsanalyse en -onderzoek, en applicatiebeveiliging. Deze gebieden moeten de focus zijn voor cyberbeveiligingsprofessionals bij het ontwikkelen van vaardigheden.

Bedrijven investeren volgens ISSA en ESG niet in hun mensen op een manier die de ernst van het huidige cyberdreigingslandschap op gepaste wijze weerspiegelt. 59 procent van de respondenten meent dat hun organisatie meer kan doen om het tekort aan cyberbeveiligingsvaardigheden aan te pakken, waarbij bijna een derde opmerkt dat hun organisatie veel meer zou kunnen doen.

ISSA_ESG studie tekort security experts.jpg

Een aantal andere bevindingen:

  • Cyberbeveiligingsprofessionals hebben een eerlijke en concurrerende vergoeding nodig. Dit is duidelijk van cruciaal belang voor het aannemen en behouden van beveiligingspersoneel. Het niet aanbieden van concurrerende vergoedingen is de belangrijkste factor (38%) die bijdraagt aan het tekort aan cybervaardigheden van organisaties, omdat het moeilijk wordt om de cyberbeveiligingsprofessionals te werven en aan te nemen die organisaties nodig hebben. Meer dan driekwart (76%) van de organisaties geeft toe dat het moeilijk is om cyberbeveiligingspersoneel te werven en aan te nemen, en bijna een vijfde (18%) geeft aan dat het buitengewoon moeilijk is. Het aanbieden van een hoger beloningspakket is de belangrijkste reden (33%) dat CISO's de ene organisatie verlaten voor de andere.
  • Investeringen in cyberbeveiligingsopleidingen moeten op passende wijze worden gefinancierd. Op de vraag welke acties organisaties zouden kunnen ondernemen om het tekort aan cyberbeveiligingsvaardigheden aan te pakken, noemde 39 procent een toename van cyberbeveiligingstrainingen, zodat kandidaten goed kunnen worden opgeleid voor hun rollen. Om hun vaardigheden te behouden en te verbeteren, streven veel cyberbeveiligingsprofessionals ernaar om elk jaar ten minste 40 uur training te volgen. Bijna een kwart (21%) van de ondervraagden volgde geen 40 uur opleiding per jaar. Volgens bijna de helft (48%) van de respondenten is de belangrijkste reden die ze aangaven dat hun organisatie die 40 uur opleiding per jaar nier vergoedt en dat ze het zelf niet kunnen betalen.
  • Bijna alle (91%) respondenten vinden dat cyberbeveiligingsprofessionals hun vaardigheden moeten bijhouden omdat de organisaties waarvoor ze werken anders aanzienlijk benadeeld zijn ten opzichte van de cyberaanvallers. Ondanks deze behoefte geeft 82 procent aan dat, hoewel ze proberen gelijke tred te houden met de ontwikkeling van vaardigheden op het gebied van cyberbeveiliging, baanvereisten vaak een belemmering vormen.
  • Bijna een op de drie (29%) ondervraagde professionals zei dat de HR-afdelingen in hun organisatie sterke kandidaten waarschijnlijk uitsluiten omdat ze de vaardigheden die nodig zijn om te werken in cyberbeveiliging niet begrijpen. Een op de vier zei ook dat vacatures bij hun organisaties vaak onrealistisch zijn en te veel ervaring, te veel certificeringen of te veel specifieke technische vaardigheden vereisen. Bijna een derde (30%) wil dat CISO's HR en recruiters beter voorlichten over praktische doelen en behoeften op het gebied van cyberbeveiliging. 28 procent zei dat rekruteringen voor banen realistischer moeten zijn met de typische ervaringsniveaus die cyberbeveiligingsprofessionals hebben.

Bedrijfsleiders en cyberleiders moeten samenwerken om de organisatorische dynamiek te verbeteren. Bedrijfsleiders moeten cyberbeveiliging omarmen als een kerncomponent van het bedrijf, terwijl CISO's hun mensen, processen en technologieën dichter bij het bedrijf moeten brengen. Organisaties zouden gealarmeerd moeten zijn door het feit dat:

  • 29 procent van de respondenten vindt dat de relatie van het beveiligingsteam met HR redelijk of slecht is.
  • 28 procent vindt dat de relatie met line-of-business managers redelijk of slecht is.
  • 27 procent meent dat de relatie met de raad van bestuur redelijk of slecht is.
  • 24 procent stelt dat de relatie met het juridische team redelijk of slecht is.
Terug naar nieuws overzicht